安全 QA 说只允许 POST/GET 请求,其它的都不安全?

查看 269|回复 11
作者:dog82   
其它的 HTTP 方法都被评为中级风险,不整改估计过不了安全关,系统没法上线,这事如何破?
我严格要求团队遵循 restful 规范,写了一堆 PUT/Delete/BATCH

RESTful, batch, 安全, delete

leo97   
安全水平不行
infun   
安不安全不知道,方便是真的方便
corcre   
写邮件, 让他留书面证据, 然后拿去问项目负责人, 他说改你就改
retanoj   
这事儿怨不得你们的安全 QA ,要埋怨还得找根源(比如他们遵守的那份规范的制定方)
trlove   
很多安全检测工具是只允许 post/get 更严重的是只允许 post 跟你们的安全人员用的安全检测工具有关
guilinxiaobing   
安全 QA 可以下岗了,他真的不合适做这个。
在他知识里,喝 25°的水是安全,26°的水不安全,但是 25°的敌敌畏喝了也安全。
dog82
OP
  
@corcre 我就是项目负责人,花钱请的外面的网信安团队对项目做安全评估
CEBBCAT   
那当然是举报前端使用 OPTIONS 方法有安全漏洞 /doge
CEBBCAT   
即如楼主就是项目负责人,“安全 QA”是请的第三方公司,那么目标就明确了,是项目上线,阻碍也明确了,“安全 QA”设置了不合理的规则。
可以分享一下跟对方团队的沟通进度吗?
您需要登录后才可以回帖 登录 | 立即注册

返回顶部